---
title: Certifikat Gennemsigtighed (CT) Logs
slug: ct-logs
lastmod: 2025-08-27
show_lastmod: 1
---


<p>
  <a href="https://www.certificate-transparency.org/what-is-ct"
    >Certifikat gennemsigtighed (CT)</a
>
  er et system til logning og overvågning af udstedelsen af TLS-certifikater. CT forbedrer i høj grad alles evne til at overvåge og studere udstedelse af certifikater, og disse evner har ført til talrige forbedringer af CA-økosystemet og websikkerhed. Som følge heraf er CT hurtigt ved at blive kritisk infrastruktur.
</p>

<p>
  Let's Encrypt indsender alle certifikater, vi udsteder til CT-logs. Vi driver også CT-logs.
  Alle offentligt betroede certifikatmyndigheder er velkomne til at indsende til vores logs. Mange rod-certifikater fra certifikatmyndigheder er allerede inkluderet i vores CT-logs. Hvis du driver en Certifikatmyndighed og din udsteder
  ikke er på vores liste over godkendte udstedere, bedes du indsende et problem <a href="https://github.com/letsencrypt/ct-log-metadata">her</a>.
</p>

<p>
  Tilmeld dig for meddelelser i kategorien <a
    href="https://community.letsencrypt.org/t/about-the-ct-announcements-category"
    >CT annonceringer</a
> i vores community forum for at se større meddelelser om vores CT-logs.
</p>

<h2>Finansiering</h2>

<p>
  Hvis din organisation gerne vil hjælpe os med at fortsætte dette arbejde, så overvej venligst <a href="https://www.abetterinternet.org/sponsor/">sponsorering eller donering</a>.
</p>

<h2>Arkitektur</h2>

<p>
  Tjek vores blog for at se <a href="https://letsencrypt.org/2019/11/20/how-le-runs-ct-logs.html"
    >Hvordan Let's Encrypt driver CT Logs</a
>!
</p>

<h2>Log Overvågning</h2>

<p>
  Let's Encrypt har oprettet et open source CT-logovervågningsværktøj kaldet <a href="https://github.com/letsencrypt/ct-woodpecker">CT Woodpecker</a>. Vi anvender dette værktøj til at overvåge stabiliteten og overholdelsen af vores egne logs, og vi håber, at andre også vil finde det nyttigt.
</p>

<h2>CT Logs</h2>
<p>
Oplysninger om de forskellige livscyklusser tilstande, som en CT log går gennem kan findes <a href="https://googlechrome.github.io/CertificateTransparency/log_states.html">her</a>.
</p>

<h3>Sunlight</h3>
<p>
  Let's Encrypt tester kørende logs baseret på <a href="https://sunlight.dev">Sunlight</a>.
  Oplysninger, herunder accepterede roots, offentlige nøgler, log ID'er og shard intervaller er tilgængelige på hver log's
  landingsside, der er linket nedenfor.
</p>
<p>Sycamore og Pil er vores nye produktion CT logs, accepterer certifikater fra betroede CA'er.</p>
<ul>
  <li><b>Sycamore</b>: <a href="https://log.sycamore.ct.letsencrypt.org/">log.sycamore.ct.letsencrypt.org</a></li>
  <li><b>Willow</b>: <a href="https://log.willow.ct.letsencrypt.org/">log.willow.ct.letsencrypt.org</a></li>
</ul>
<p>Twig er en test log, accepterer certifikater fra betroede CAs samt nogle yderligere test CA'er, herunder Let's Encrypts staging-miljø.</p>
<ul>
  <li><b>Twig</b>: <a href="https://log.twig.ct.letsencrypt.org/">log.twig.ct.letsencrypt.org</a></li>
</ul>


{{< ct_logs data="production" >}}
<li>
  Oak er indarbejdet i <a href="https://support.apple.com/en-us/HT209255">Apple</a> og <a href="https://github.com/chromium/ct-policy/blob/master/ct_policy.md"
    >Google</a
> CT-programmerne.
</li>
<li>Vores produktions ACME API miljø indsender certifikater her.</li>
{{< /ct_logs >}} {{< ct_logs data="testing" >}}
<li>
  SCT'er fra disse logs <b>MÅ IKKE</b> indgå i offentligt betroede certifikater.
</li>
<li>
  Let's Encrypt produktion og <a href="/docs/staging-environment">staging</a> ACME API miljøer indsender begge certifikater til Testflume, men produktionsmiljøet anvender ikke de resulterende SCT'er.
</li>
<li>
  Vi tester nye versioner af <a href="http://github.com/google/trillian">Trillian</a> og <a href="https://github.com/google/certificate-transparency-go"
    >certifikat-gennemsigtighed-go</a
> her, før vi anvender dem til produktion.
</li>
<li>
  Sapling's accepterede root-liste omfatter alle de Oak-accepterede rødder plus
  yderligere test-roots.
</li>
<li>
  Sapling kan bruges af andre certifikatmyndigheder til testformål.
</li>
{{< /ct_logs >}}

<h2>Log Handlinger</h2>
<p>
  For at opliste de medfølgende roots for en bestemt CT-log, kan du køre følgende kommando i en terminal efter eget valg:
</p>
<pre>
$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d &lt;&lt;&lt; "${i}" | openssl x509 -inform der -noout -issuer -serial
done
</pre>

<p>
  Indsendelse af certifikater til en CT-log håndteres typisk af certifikatmyndigheder. Hvis du gerne vil eksperimentere med dette, så begynd med at hente et vilkårligt PEM-kodet certifikat fra vores foretrukne hjemmeside. Kopier og indsæt følgende blok i din terminal.
</p>
<pre>
$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2&gt;/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' &gt; example.crt
</pre>

<p>
  Før et certifikat kan indsendes, skal det være JSON kodet i en speciel struktur. Du kan bruge JSON generatoren fra <a href="https://crt.sh/gen-add-chain">https://crt.sh/gen-add-chain</a> til at udføre denne opgave. Crt.sh værktøjet vil returnere en JSON bundle. Download pakken til din computer, omdøb filen, hvis du skal og udstede følgende kommando til udførelse af add-chain operation (<a
    href="https://tools.ietf.org/html/rfc6962#section-4.1"
    >RFC 6962 afsnit 4.</a
>) at indsende certifikatet til en CT-log. Outputtet vil indeholde en signatur, som faktisk er en <a href="https://letsencrypt.org/2018/04/04/sct-encoding.html">SCT</a>. Mere om underskriften om et øjeblik.
</p>
<pre>
$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}
</pre>

<p>
  For at bekræfte, at CT-loggen blev underskrevet af Oak 2020 shard — bruger vi id
  feltet fra kommandoen ovenfor og køre det gennem følgende kommando. Resultatet af dette vil udskrive log-ID'et for CT-loggen.
</p>
<pre>
$ base64 -d &lt;&lt;&lt; "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
</pre>

<p>
  Ved brug af signaturfeltet, kan vi verificere at certifikatet blev indsendt til en log. Ved hjælp af vores <a href="https://letsencrypt.org/2018/04/04/sct-encoding.html"
    >SCT detaljerede vejledning</a
>kan du afkode denne værdi yderligere.
</p>
<pre>
$ base64 -d &lt;&lt;&lt; "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84
</pre>
